一种安全认证方法、装置和计算机可读存储介质与流程

本发明涉及移动通信技术领域，尤其涉及一种安全认证方法、装置和计算机可读存储介质。

背景技术：

目前，当第三方程序(client)通过浏览器访问资源服务器(resourceserver)(以亚马逊为例)时，如图1所示，必须先取得用户(resourceowner)的授权。资源服务器验证用户名和密码的同时，会询问用户是否允许第三方程序访问；确认后用户会通过重定向访问第三方程序，同时捎带一个令牌(token)，第三方程序用获取的token访问资源服务器。

相关技术中，在资源服务器重定向以后，“token＝<亚马逊赋予的token>”作为hashfragment只会停留在浏览器(browser)端，只有javascript能够访问，且不会再次通过httprequest发送到别的服务器。但是，token以明文的方式发送给浏览器，虽然是https(以安全为目标的http通道)，不会被别人窃取，但是浏览器的历史记录或者访问日志中能够找到。

例如：在软探针省级平台(即所述第三方程序)和一级平台(资源服务器)的数据对接过程中，软探针省级平台要先获取到一级平台发放的令牌才能上传数据。但是，令牌被一级平台发送后，很容易被窃取，对数据安全性造成极大威胁。

技术实现要素：

有鉴于此，本发明实施例期望提供一种安全认证方法、装置和计算机可读存储介质。

为达到上述目的，本发明实施例的技术方案是这样实现的：

本发明实施例还提供了一种安全认证方法，该方法包括：

向浏览器发送授权码；所述授权码中携带第一身份认证标识；

接收软探针省级平台发送的令牌请求消息，所述令牌请求消息中携带第二身份认证标识；

确定所述第一身份认证标识与所述第二身份认证标识一致时，设置令牌；

发送所述令牌到软探针省级平台；

其中，所述第一身份认证标识或所述第二身份认证标识中包括：应用标识(app_id)和应用密钥(app_secret)。

其中，所述向浏览器发送授权码，包括：

在向浏览器返回重定向链接时，向浏览器发送所述授权码。

其中，所述设置令牌时，该方法还包括：

设置所述令牌的有效时间。

本发明实施例还提供了一种安全认证装置，该装置包括：处理器和用于存储能够在处理器上运行的计算机程序的存储器，

其中，所述处理器用于运行所述计算机程序时，执行上述方法的步骤。

本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述方法的步骤。

本发明实施例还提供了一种安全认证方法，该方法包括：

接收浏览器发送的授权码，所述授权码中携带第一身份认证标识；

基于所述授权码向一级平台发送令牌请求消息；所述令牌请求消息中携带第二身份认证标识；

接收一级平台发送的令牌；所述令牌为一级平台在确定所述第一身份认证标识与所述第二身份认证标识一致时设置的；

其中，所述第一身份认证标识或所述第二身份认证标识中包括：应用标识(app_id)和应用密钥(app_secret)。

其中，所述接收浏览器发送的授权码，包括：

在浏览器访问重定向链接时，接收浏览器发送的所述授权码。

本发明实施例还提供了一种安全认证装置，该装置包括：处理器和用于存储能够在处理器上运行的计算机程序的存储器，

其中，所述处理器用于运行所述计算机程序时，执行上述方法的步骤。

本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述方法的步骤。

本发明实施例还提供了一种安全认证装置，该装置包括：

第一发送模块，用于向浏览器发送授权码；所述授权码中携带第一身份认证标识；发送令牌到软探针省级平台；

第一接收模块，用于接收软探针省级平台发送的令牌请求消息，所述令牌请求消息中携带第二身份认证标识；

处理模块，用于确定所述第一身份认证标识与所述第二身份认证标识一致时，设置令牌；

其中，所述第一身份认证标识或所述第二身份认证标识中包括：应用标识(app_id)和应用密钥(app_secret)。

可选的，所述处理模块，还用于在设置令牌时，设置所述令牌的有效时间。

本发明实施例还提供了一种安全认证装置，该装置包括：

第二接收模块，用于接收浏览器发送的授权码，所述授权码中携带第一身份认证标识；还用于接收一级平台发送的令牌；

其中，所述令牌为一级平台在确定所述第一身份认证标识与所述第二身份认证标识一致时设置的；

第二发送模块，用于基于所述授权码向一级平台发送令牌请求消息；所述令牌请求消息中携带第二身份认证标识；

其中，所述第一身份认证标识或所述第二身份认证标识中包括：应用标识(app_id)和应用密钥(app_secret)。

本发明实施例提供的安全认证方法、装置和计算机可读存储介质，向浏览器发送授权码；所述授权码中携带第一身份认证标识；接收软探针省级平台发送的令牌请求消息，所述令牌请求消息中携带第二身份认证标识；确定所述第一身份认证标识与所述第二身份认证标识一致时，设置令牌；发送所述令牌到软探针省级平台；其中，所述第一身份认证标识或所述第二身份认证标识中包括：应用标识(app_id)和应用密钥(app_secret)。本发明实施例中，一级平台将发送给浏览器的授权码中的第一身份认证标识与软探针省级平台发送的令牌请求消息中的第二身份认证标识进行比较，确定一致时，才创建并发送令牌，整个登录验证过程安全，令牌不会泄露，保证了令牌的安全，降低安全隐患。

附图说明

图1为传统第三方程序通过浏览器访问资源服务器的流程示意图；

图2为本发明实施例所述安全认证方法流程示意图一；

图3为本发明实施例所述安全认证方法流程示意图二；

图4为本发明实施例所述安全认证装置的结构示意图一；

图5为本发明实施例所述安全认证装置的结构示意图二；

图6为本发明实施例所述第三方程序通过浏览器访问资源服务器的流程示意图。

具体实施方式

下面结合附图和实施例对本发明进行描述。

本发明实施例提供了一种安全认证方法，如图2所示，该方法包括：

步骤201：向浏览器发送授权码；所述授权码中携带第一身份认证标识；

步骤202：接收软探针省级平台发送的令牌请求消息，所述令牌请求消息中携带第二身份认证标识；

步骤203：确定所述第一身份认证标识与所述第二身份认证标识一致时，设置令牌；

步骤204：发送所述令牌到软探针省级平台；

其中，所述第一身份认证标识或所述第二身份认证标识中包括：应用标识(app_id)和应用密钥(app_secret)。

本发明实施例中，一级平台将发送给浏览器的授权码中的第一身份认证标识与软探针省级平台发送的令牌请求消息中的第二身份认证标识进行比较，确定一致时，才创建并发送令牌，保证了令牌的安全，降低安全隐患。

本发明实施例中，所述向浏览器发送授权码，可包括：

在向浏览器返回重定向链接时，向浏览器发送所述授权码。

一个实施例中，所述设置令牌时，该方法还包括：

设置所述令牌的有效时间。

这样，可进一步提高token的安全性。

本发明实施例还提供了一种安全认证方法，如图3所示，该方法包括：

步骤301：接收浏览器发送的授权码，所述授权码中携带第一身份认证标识；

步骤302：基于所述授权码向一级平台发送令牌请求消息；所述令牌请求消息中携带第二身份认证标识；

步骤303：接收一级平台发送的令牌；所述令牌为一级平台在确定所述第一身份认证标识与所述第二身份认证标识一致时设置的；

其中，所述第一身份认证标识或所述第二身份认证标识中包括：应用标识(app_id)和应用密钥(app_secret)。

本发明实施例中，一级平台将发送给浏览器的授权码中的第一身份认证标识与软探针省级平台发送的令牌请求消息中的第二身份认证标识进行比较，确定一致时，才创建并发送令牌，保证了令牌的安全，降低安全隐患。

本发明实施例中，所述接收浏览器发送的授权码，可包括：

在浏览器访问重定向链接时，接收浏览器发送的所述授权码。

本发明实施例还提供了一种安全认证装置，如图4所示，该装置包括：

第一发送模块401，用于向浏览器发送授权码；所述授权码中携带第一身份认证标识；发送令牌到软探针省级平台；

第一接收模块402，用于接收软探针省级平台发送的令牌请求消息，所述令牌请求消息中携带第二身份认证标识；

处理模块403，用于确定所述第一身份认证标识与所述第二身份认证标识一致时，设置令牌；

其中，所述第一身份认证标识或所述第二身份认证标识中包括：应用标识(app_id)和应用密钥(app_secret)。

本发明实施例中，所述第一发送模块401向浏览器发送授权码，包括：

在向浏览器返回重定向链接时，向浏览器发送所述授权码。

一个实施例中，所述第一身份认证标识或所述第二身份认证标识中包括：应用标识app_id和应用密钥app_secret。

一个实施例中，所述处理模块403，还用于在设置令牌时，设置所述令牌的有效时间。

本发明实施例还提供了一种安全认证装置，如图5所示，该装置包括：

第二接收模块501，用于接收浏览器发送的授权码，所述授权码中携带第一身份认证标识；还用于接收一级平台发送的令牌；

其中，所述令牌为一级平台在确定所述第一身份认证标识与所述第二身份认证标识一致时设置的；

第二发送模块502，用于基于所述授权码向一级平台发送令牌请求消息；所述令牌请求消息中携带第二身份认证标识；

其中，所述第一身份认证标识或所述第二身份认证标识中包括：应用标识(app_id)和应用密钥(app_secret)。

本发明实施例中，所述第二接收模块501接收浏览器发送的授权码，包括：

在浏览器访问重定向链接时，接收浏览器发送的所述授权码。

本发明实施例还提供了一种安全认证装置，该装置包括：处理器和用于存储能够在处理器上运行的计算机程序的存储器，

其中，所述处理器用于运行所述计算机程序时，执行：

向浏览器发送授权码；所述授权码中携带第一身份认证标识；

接收软探针省级平台发送的令牌请求消息，所述令牌请求消息中携带第二身份认证标识；

确定所述第一身份认证标识与所述第二身份认证标识一致时，设置令牌；

发送所述令牌到软探针省级平台；

其中，所述第一身份认证标识或所述第二身份认证标识中包括：应用标识(app_id)和应用密钥(app_secret)。

所述向浏览器发送授权码时，所述处理器还用于运行所述计算机程序时，执行：

在向浏览器返回重定向链接时，向浏览器发送所述授权码。

所述设置令牌时，所述处理器还用于运行所述计算机程序时，执行：

设置所述令牌的有效时间。

本发明实施例还提供了一种安全认证装置，该装置包括：处理器和用于存储能够在处理器上运行的计算机程序的存储器，

其中，所述处理器用于运行所述计算机程序时，执行：

接收浏览器发送的授权码，所述授权码中携带第一身份认证标识；

基于所述授权码向一级平台发送令牌请求消息；所述令牌请求消息中携带第二身份认证标识；

接收一级平台发送的令牌；所述令牌为一级平台在确定所述第一身份认证标识与所述第二身份认证标识一致时设置的；

其中，所述第一身份认证标识或所述第二身份认证标识中包括：应用标识(app_id)和应用密钥(app_secret)。

所述接收浏览器发送的授权码时，所述处理器还用于运行所述计算机程序时，执行：

在浏览器访问重定向链接时，接收浏览器发送的所述授权码。

需要说明的是：上述实施例提供的装置在进行安全认证时，仅以上述各程序模块的划分进行举例说明，实际应用中，可以根据需要而将上述处理分配由不同的程序模块完成，即将设备的内部结构划分成不同的程序模块，以完成以上描述的全部或者部分处理。另外，上述实施例提供的装置与相应方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

在示例性实施例中，本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质可以是fram、rom、prom、eprom、eeprom、flashmemory、磁表面存储器、光盘、或cd-rom等存储器；也可以是包括上述存储器之一或任意组合的各种设备，如移动电话、计算机、平板设备、个人数字助理等。

本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时，执行：

向浏览器发送授权码；所述授权码中携带第一身份认证标识；

接收软探针省级平台发送的令牌请求消息，所述令牌请求消息中携带第二身份认证标识；

确定所述第一身份认证标识与所述第二身份认证标识一致时，设置令牌；

发送所述令牌到软探针省级平台；

其中，所述第一身份认证标识或所述第二身份认证标识中包括：应用标识(app_id)和应用密钥(app_secret)。

所述向浏览器发送授权码时，所述计算机程序被处理器运行时，还执行：

在向浏览器返回重定向链接时，向浏览器发送所述授权码。

所述设置令牌时，所述计算机程序被处理器运行时，还执行：

设置所述令牌的有效时间。

本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时，执行：

接收浏览器发送的授权码，所述授权码中携带第一身份认证标识；

基于所述授权码向一级平台发送令牌请求消息；所述令牌请求消息中携带第二身份认证标识；

接收一级平台发送的令牌；所述令牌为一级平台在确定所述第一身份认证标识与所述第二身份认证标识一致时设置的；

其中，所述第一身份认证标识或所述第二身份认证标识中包括：应用标识(app_id)和应用密钥(app_secret)。

所述接收浏览器发送的授权码时，所述计算机程序被处理器运行时，还执行：

在浏览器访问重定向链接时，接收浏览器发送的所述授权码。

下面结合一场景实施例对本发明进行描述。

如图6所示，该实施例所述安全认证方法包括如下步骤：

步骤1：用户通过浏览器使用资源服务器(以亚马逊为例)账号登录第三方程序；

步骤2：输入用户名和密码后浏览器跳转或弹出新页面；

步骤3：浏览器访问新页面；

步骤4：资源服务器返回到登录和授权页面；

步骤5：用户使用资源服务器账号登录，并授权给第三方程序；

步骤6：资源服务器返回重定向链接并发送授权码；

这里，虽然授权码是暴露的，但是用户在注册资源服务器的时候会同时申请app_id和app_secret，授权码会和app_id、app_secret绑定(相关)，只有当前的第三方程序发出的token请求，资源服务器才认为合法；此外，资源服务器还可以对token时效进行限制等。

步骤7：浏览器收到所述授权码，访问该重定向链接，并将该授权码通知第三方程序；

步骤8：第三方程序基于所述授权码向资源服务器申请token；

步骤9：资源服务器验证授权码，即：确定所述步骤7中授权码携带的app_id、app_secret与步骤6中资源服务器发送的授权码携带的app_id、app_secret一致时，创建token并发送到第三方程序；

步骤10：第三方程序成功获取到token。

本发明实施例中，资源服务器(一级平台)将发送给浏览器的授权码中的第一身份认证标识与第三方程序(软探针省级平台)发送的令牌请求消息中的第二身份认证标识进行比较，确定一致时，才创建并发送令牌，保证了令牌的安全，降低安全隐患。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。